AD DS'de depolama hesabı kimliğinizin parolasını güncelleştirme

Depolama hesabınızı temsil eden Active Directory Etki Alanı Hizmetleri (AD DS) kimliğini/hesabını parola süre sonu süresini zorlayan bir kuruluş birimine veya etki alanına kaydettiyseniz, parolayı en fazla parola geçerlilik süresinden önce değiştirmeniz gerekir. Kuruluşunuz, parolalarının süresi dolduğunda hesapları silecek otomatik temizleme betikleri çalıştırabilir. Bu nedenle, parolanızı süresi dolmadan önce değiştirmezseniz hesabınız silinebilir ve bu da Azure dosya paylaşımlarınıza erişimi kaybetmenize neden olur.

İstenmeyen parola döndürmeyi önlemek için, etki alanında Azure depolama hesabının eklendiği sırada Azure depolama hesabını AD DS'de ayrı bir kuruluş birimine yerleştirdiğinden emin olun. Varsayılan etki alanı ilkelerinin veya belirli parola ilkelerinin uygulanmasını önlemek için bu kuruluş biriminde Grup İlkesi devralmayı devre dışı bırakın.

Parola döndürmeyi tetiklemek için iki seçenek vardır. Modülünü AzFilesHybrid veya Active Directory PowerShell'i kullanabilirsiniz. Her ikisini birden değil, tek bir yöntem kullanın.

Şunlara uygulanır

Dosya paylaşımı türü	SMB	NFS
Standart dosya paylaşımları (GPv2), LRS/ZRS
Standart dosya paylaşımları (GPv2), GRS/GZRS
Premium dosya paylaşımları (filestorage), LRS/ZRS

Seçenek 1: AzFilesHybrid modülünü kullanma

Cmdlet'ini Update-AzStorageAccountADObjectPassword AzFilesHybrid modülünden çalıştırabilirsiniz. Depolama hesabını temsil eden kimliğin parolasını değiştirmek için bu komutu, depolama hesabına sahip iznine ve AD DS izinlerine sahip karma bir kimlik tarafından şirket içi AD DS'ye katılmış bir ortamda çalıştırmanız gerekir. Komut, depolama hesabı anahtarı döndürme işlemine benzer eylemler gerçekleştirir. Özellikle, depolama hesabının ikinci Kerberos anahtarını alır ve bu anahtarı kullanarak AD DS’de kayıtlı hesabın parolasını güncelleştirir. Ardından depolama hesabının hedef Kerberos anahtarını yeniden üretir ve AD DS’de kayıtlı hesabın parolasını güncelleştirir.

# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
        -RotateToKerbKey kerb2 `
        -ResourceGroupName "<your-resource-group-name-here>" `
        -StorageAccountName "<your-storage-account-name-here>"

Bu eylem, AD nesnesinin kerb1 olan parolasını kerb2 olarak değiştirir. Bunun iki aşamalı bir işlem olması amaçlanmıştır: kerb1’den kerb2’ye döndürün (ayarlanmadan önce depolama hesabında kerb2 yeniden oluşturulur), birkaç saat bekleyin ve sonra kerb1’e geri döndürün (bu cmdlet aynı şekilde kerb1’i yeniden oluşturur).

Seçenek 2: Active Directory PowerShell kullanma

Modülü indirmek AzFilesHybrid istemiyorsanız Active Directory PowerShell'i kullanabilirsiniz.

Aşağıdaki betiği değerinizle değiştirin <domain-object-identity> , ardından etki alanı nesne parolanızı güncelleştirmek için betiği çalıştırın:

$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force

Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword

AD DS hesabı parolasının kerberos anahtarıyla eşleşerek eşleşmediğini test edin

AD DS hesabı parolasını güncelleştirdiğinize göre, aşağıdaki PowerShell komutunu kullanarak bu parolayı test edebilirsiniz.

 Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose